Microsoft Defenderの脅威インテリジェンスチームは、インターネットに公開されたSolarWinds Web Help Deskインスタンスを標的とする、裏付けのある一連の攻撃について文書化しました。攻撃者は脆弱なこれらのヘルプデスクサーバーを主要な侵入点として武器化し、その後、重要なドメインノードの支配権を奪取することを狙って、内部インフラへの侵入を組織的に深めました。
Microsoftのアナリストによれば、侵入は多層構造を特徴としていました。悪用された正確な脆弱性は引き続き調査中であるものの、攻撃は2026年1月に公開された欠陥(CVE-2025-40551およびCVE-2025-40536)に加え、先行するCVE-2025-26399を利用した可能性が高いとされています。事案は2025年12月に発生しており、その時点で侵害されたノードには複数の未修正の脆弱性が残存していたため、初期侵入ベクターの特定を決定的に行うことが困難になっていました。
悪用が成功すると、Web Help Deskアプリケーションのセキュリティコンテキスト内で、認証不要のリモートコード実行が可能になりました。足掛かりを確立した後、攻撃者はPowerShellを起動し、ネイティブのダウンロード機構を用いて追加の悪性モジュールを取得しました。複数の事例では、正規のリモート管理スイートであるZoho ManageEngineのコンポーネントが密かにインストールされ、乗っ取ったホストを管理するための対話的インターフェースが提供されていました。
その後、実行者はドメイン環境の包括的な偵察を行い、ユーザーアカウントや特権管理者グループを列挙しました。永続的なアクセスを確保するため、リバースSSH接続とリモートデスクトップ(RDP)セッションが利用されました。複数のデバイスでは、システム起動時にSYSTEMアカウントでQEMU仮想マシンを起動するよう設計されたスケジュールタスクの作成が研究者によって確認されました。この高度な策略により、悪性活動を仮想化環境内に隔離しつつ、ネットワーク越しに外部アクセスをトンネリングできるようになっていました。
このキャンペーンでは、DLLサイドローディングによって有害なライブラリを注入し、正規のwab.exeプロセスを悪用する手口も確認されました。この手法は、LSASSメモリを操作して資格情報を収集し、直接的なメモリダンプを狙う従来の検知機構を回避するために用いられました。少なくとも1件の記録された事例では、攻撃はディレクトリ複製メカニズムの乗っ取りにまで至り、ドメインコントローラーからパスワードハッシュを持ち出しました。
Microsoftは、SolarWinds Web Help Deskに対するセキュリティパッチの即時適用、管理インターフェースのパブリックインターネットからの撤去、そしてシステムログの強化を緊急に推奨しています。さらに、組織には、不正なリモート管理ツールが存在しないか環境を精査し、サービスおよび管理者の資格情報をローテーションし、影響を受けたノードを隔離することが助言されています。Microsoft Defender XDRスイートは、これらの高度なオペレーションチェーンを特定するために特別に調整された検知ヒューリスティクスで更新されました。
